PDF《支持员工使用私有智能手机工作的最佳实践》

支持员工使用私有智能手机工作的最佳实践 IT@Intel 白皮书 英特尔 IT 部门 IT 最佳实践 IT 消费化与员工工作效率

2011 年12 月 我们在过去

18 个月启用了约 15,000 部属于员工私有的智 能手机 ― 支持其访问企业信 息和 IT 服务,让员工工作更 灵活,工作效率更高.

在2010 年初,英特尔 IT 部门实施了一项 私人设备使用计划,允许员工使用自己的 智能手机访问公司数据(以下简称 私有 设备计划 ).我们在过去

18 个月的时 间内启用了约 15,000 属于部员工私有的 智能手机 ― 支持其访问企业信息和 IT 服务,提高了员工工作的灵活程度和效率. 在我们的工作环境中启用员工私有设备会 带来巨大的数据安全和隐私方面的挑战. 我们与英特尔法律和人力资源(HR)团 队紧密合作,共同制定了一项实施计划, 建立了必要的策略和技术基础设施,最终 部署了计划.虽然我们花费了数月时间进 行部署,但计划的运作非常简单:员工在 线请求服务、接受服务条款、获得直属经 理的批准,然后自动接收配置说明. 我们根据以往的经验,建立符合我们信 息安全标准的私有设备计划的八个最佳 实践: ? 在规划流程初期尽早识别各利益相关 方,并展开互动:了解他们的顾虑,获 得构建计划的主愿景所需的有关信息. ? 与最终用户进行沟通:了解他们希望如 何使用私有电子设备以及希望 IT 部门 能够针对设备提供哪些帮助. ? 制定一个安全模式:付出合理的精力与 成本,充分保护公司数据的安全. ? 确定实施何种设备:例如我们决定支 持特定的操作系统,而非特定的硬件 型号. ? 消除法律和人力资源团队的顾虑:制定 全面、灵活、符合当地法律要求的服 务协议. ? 支持技术:构建基础设施,针对服务 请求创建简单易用的 Web 门户网站, 并围绕新计划对各团队经理、员工和 IT 支持人员展开培训. David Byrne 英特尔 IT 手持技术专家 Rob Evered 英特尔 IT 信息安全专家 概要 为了支持 IT 消费化,英特尔 IT 部门致力于为广泛的公司和员工个人电子设备提供服务. 我们综合利用各种技术和趋势,例如无处不在的互联网连接、虚拟化和云计算,重新定 义了提供服务的方式,来满足不断变化的用户要求.

2 www.intel.com/cn/IT IT@Intel 白皮书 《支持员工使用私有智能手机工作的最佳实践》 目录 概要.1 背景.2 部署让员工使用私有电子设备 工作的计划的最佳实践.3 最佳实践 1:在规划流程初期 尽早识别各利益相关方, 并展开互动.3 最佳实践 2:与最终用户沟通.....

3 最佳实践 3: 制定一个安全模式.4 最佳实践 4: 确定支持何种设备.6 最佳实践 5:消除法律部门和 人力资源部门的顾虑.8 最佳实践 6:支持技术.9 最佳实践 7:规划部署.10 最佳实践 8:与不断变化的 技术保持同步.11 结果.11 缩写词.12 总结.12 了解更多信息.12 IT@INTEL IT@Intel 计划将全球各地的 IT 专业人 员及其在我们机构中的同仁紧密联系 在一起,共同分享经验教训、方法和 战略.我们的目标十分简单:分享英 特尔 IT 部门最佳实践,获得业务价值 并实现 IT 竞争优势.如欲了解更多信 息,请访问:www.intel.com/cn/IT 或联 系您当地的英特尔代表. ? 规划部署:确保将对新计划的要求维持 在预定义的支持范围内. ? 与日益变更的技术保持同步:监视手 机操作系统市场的发展情况、评估计 划所受到的影响,并在必要时更新服务 协议,以涵盖全新的设备类型、功能和 特性. 内部数据显示,员工的工作效率和工作满 意度均有所提升,这是在企业内实施员工 使用电子设备工作的结果.员工大约每个 季度使用公司和个人设备发送

227 万封 与业务相关的电子邮件.更重要的是,员 工表示,由于可以使用个人设备,每天可 节省约一个小时的工作时间. 此外,正式支持员工在工作中使用私有 智能手机,我们的计算环境中便不会有 不安全和未受管的私有设备,从而提高 了企业的信息安全.将来,随着设备的 数据安全技术日趋成熟,我们有望利用 已有的最佳实践和策略为种类不断增加 的电子设备及相关服务提供支持. 背景 英特尔 IT 部门坚信,正式支持将员工在 我们的计算环境中使用私有电子设备工 作,能够消除不安全的未托管设备,进而 提高企业的数据安全.正因如此,我们开 始积极地将员工的私有设备整合到企业的 计算环境中,包括智能手机和平板电脑. 在这过程中,我们正慢慢脱离支持有限设 备类型(大多数为台式机和笔记本电脑) 的传统客户端计算模式,向新模式迁移. 英特尔希望打造一个 互联计算 环境, 在不同设备之间提供无缝、一致的体验. 多年来,我们坚持为企业内的手持设备提 供支持,但这仅限于公司模式,即英特尔 为员工购买设备并付费部署服务计划,而 且前提是必需具备强烈的业务需求,要求 配备此类设备以推动特定职能. 将员工私有电子设备集整合至企业环境中 所带来的惠益包括:增强的员工工作效率 和工作满意度,以及借助广泛的使用模式 提高的业务灵活性,且并不会大幅度增加 IT 部门的总体拥有成本(TCO).例如, 从内部数据显示,由于使用手持设备,员 工平均每天能够节省一个小时左右的工作 时间,而且用户服务中心故障单数量亦 有所下降. 将支持范围拓展至员工私有电子设备带来 了严峻的在数据安全和隐私方面的挑战. 包括英特尔法律、人力资源(HR)和信 息安全团队在内的利益相关方难免会产生 一些合理的顾虑,因此,必需在项目一开 始时针对这些顾虑而商讨适当的策略. 我们还必须构建全新的支持模式,将员 工私有设备的独特属性考虑在内.这些 问题的范围很广泛,包括简单的设备拥 有权、IT 对设备的更新率和补丁管理控制 力度的缺乏,以及个人和公司信息安全的 维护等. 我们为私有设备计划所奠定的基础,将能 够为未来的新设备类型加快部署. www.intel.com/cn/IT

3 《支持员工使用私有智能手机工作的最佳实践》 IT@Intel 白皮书 部署让员工使用私有电 子设备工作的计划的最 佳实践 英特尔于

2010 年初部署了一项计划,在 确保符合公司信息安全标准的情况下, 允许员工使用私有电子设备访问企业数 据.我们的方案不再着重保护硬件,而是 侧重于保护硬件访问的数据.我们选择基 于每个设备上可用的安全控制来提供分层 服务. 我们的员工使用私有电子设备计划很简 单:当员工希望使用自己的电子设备处理 工作时,他们可以在线提交请求,获得直 属经理的批准,然后自动接收关于如何配 置设备和开始使用服务的说明.在申请过 程中,员工必需同意接受使用私有电子设 备工作的员工行为准则,以及计划如何平 衡员工隐私权利和公司数据安全顾虑的服 务条款. 我们凭借获得的经验,总结出一系列最佳 实践来实施让员工使用私有设备的计划, 如图

1 所示. 最佳实践 1:在规划流程初期 尽早识别各利益相关方,并展 开互动 将员工个私有人设备整合到在我们的企业 环境中,不仅仅是一项技术实践,因为英 特尔的多个不同团队都受到了该计划的影 响.在规划流程早期,我们首先识别哪些 是项目的利益相关团队. ? 英特尔人力资源团队 ? 调查团队 ? 英特尔法律团队 ? IT 工程团队 ? 员工隐私信息团队 ? 公司服务团队 ? 希望获得未来功能的业务部门应用负责 人和业务团队 ? IT 信息风险和安全团队 手持设备产品经理与 IT 信息风险和安全团 队负责领导新成立的工作组,成员包括策 略级决策者和上述各个领域的其他代表. 各各成员利用自身的组织职能影响并引导 实施流程.虽然每个代表的目标不同,工 作组仍成功识别了只有通过协作才能够发 现的风险. 最佳实践 2:与最终用户沟通 鉴于在企业中整合员工私有电子设备的目 标之一是提高员工的工作效率和工作满意 度,我们需要了解员工希望使用自己的设 备能处理哪些任务.为了调查员工的使用 习惯和个人喜好,我们直接与员工沟通, 使用博客讨论新 IT 消费化策略的制定. 在开设博客的过程中,我们一直与英特尔 法律和人力资源团队保持密切合作.我们 希望不会让他们误认为在不受限制的环境 下讨论策略意味着任何回应都将被视作策 略的一部分.我们需要在沟通中让员工明 白英特尔 IT 部门不是在对策略做出任何 承诺或肯定的答复.我们尽量让自己表现 随意且真诚,正如以下这个例子: 下个月我们将发布一些题目,主要 讨论您认为英特尔应该如何处理消费 化的问题.您的反馈将被专家和决策 者阅读,并有可能影响未来的消费化 策略. 我们邀请了沟通专家来根据客户的习惯 设计适当的问题.设计能得到有意义回 应的问题非常重要.我们提出的高水平 问题包括: 与最终用户沟通 制定一个安全模式 确定支持何种设备 消除法律和人力资源团队的顾虑 规划部署 在规划流程初期尽早识别 谁是利益相关方并展开互动 与日益变更的技术保持同步 采用支持技术 最佳实践

1 最佳实践

2 最佳实践

3 最佳实践

4 最佳实践

5 最佳实践

6 最佳实践

7 最佳实践

8 图1. 英特尔 IT 基于全面涵盖各个领域的规划 流程实施的员工使用私有电子设备工作的计 划,正式总结出一系列最佳实践.

4 www.intel.com/cn/IT IT@Intel 白皮书 《支持员工使用私有智能手机工作的最佳实践》 ? 您为什么希望在工作中使用自己的 设备? ? 为了在工作中使用自己的设备,您愿 意做出什么样的妥协? ? 您的电子设备对工作有什么帮助? 我们有很多问题只存在细微的差别:询 问员工在工作中需要哪些应用和哪些功 能也许看似重复,但员工会对这两个问 题有不同的解读,并提供不同的回应, 这有助于我们大致了解员工的使用方式 和偏好.在这个特定的例子中,应用影 射了功能,但同时包含非常具体的解决 方案,而功能则确认了整体偏好或已知 的需求,例如日程表或电子邮件等一般 任务. 这次对话的参与程度凸显了员工对使用 个人设备完成工作的迫切需求 ― 超过 8,000 名员工做出了回应.实际上,由于 员工反应如此热烈并提供了丰富的信息, 我们将这个博客的开放时间从一个月延长 到六个月. 有时候,员工对我们问题的回应还让我 们对关于工作方式的假设有了新的认 识.例如:两位销售代表的工作职责基 本相同,却对设备使用方面有着非常不 同的偏好.一位坚称需要一款能下载应 用、收发邮件并显示候机楼位置和无线 热点的设备.另一位则抱怨自己的设备 有太多不必要的功能,只要一部能打电 话和长时间待机的普通手机就够了. 总的来说,我们收集到了引导策略定义 和技术实施所需的重要信息: ? 多少员工已经开始使用个人设备 ? 他们为什么使用个人设备 ? 他们希望 IT 部门能够针对这些设备提 供什么支持 最佳实践 3: 制定一个安全模式 确保信息安全至关重要,并且可能需要支 出高昂的成本.我们针对员工的私有设备 开发了一个安全模式,可为不同类别的英 特尔数据提供各级别的保护,进而尽量提 高投资回报(ROI).我们的安全模式包 括三个关键要素: ? 访问级别.由于特定类别的数据更比较 机密、价值更高,并非所有员工和设备 均能访问所有数据. ? 安全控制.每个访问级别要求不同的 安全控制组合.设备具备的安全控制 越多,它能够访问的公司服务数量也 越多. ? 攻击者的分析.攻击者的身份背景、意向、知识和资源各不相同,这些均会影 响到他们为数据带来的威胁.预测可能 的攻击形式能够帮助我们评估战略,以 便提高数据安全. 我们创建了一个算法,以数学的方式关联 上述三个要素,帮助我们确定员工私有电 子设备能够安全地访问哪些公司数据. 访问级别 如图

2 所示,我们定义了五个数据和服 务访问级别.访问公共数据,如互联网 上的数据,所需要的信息安全程度最低. 把这种类型的信息加密并不是成本高效的 行为.另一个极端则是访问所有的 IT 服务.这要求最高的安全控制,因为这等同 于我们授予在公司环境内托管的商用笔记 本电脑的访问级别. 等同托管 级别的 访问部署和管理起来需花费更高的成本. 访问级别是累积性的.例如,拥有中级访 问权限的设备同样享有基本、轻微机密和 公开访问权限. 安全控制 安全控制是帮助确保适当数据安全的设备 功能,通常内建于操作系统中、通过软件 解决方案添加,或者由 IT 基础设施或设 备管理提供.从公共访问到等同托管级别 的访问,保护程度逐级提高的访问级别要 求配置更多的安全控制,以便增强整体的 数据安全.我们的目标是平衡安全控制成 本和访问级别,实现最高的投资回报. 安全控制类别 我们为设备定义了四个安全控制类别: ? 身份验证.这些控制功能与用户如何通 过身份验证访问设备以及设备和用户如 何获得授权访问后端资源有关.相关示 例包括持有并保护证书、实施密码和支 持单点登录的能力. ? 数据保护.这些控制功能可保护传输中 和存储于设备上的数据.相关示例包括 加密功能,用于阻止未经过授权的应用 访问数据,以及当设备丢失时远程擦除 数据的重要能力. ? 恶意软件.这些控制功能能够抵御攻击 者用来盗取数据的恶意软件.根据我们 的经验,针对智能手机的恶意软件攻击 中,大多数的攻击目标是手机发送短信 和拨打高成本电话的功能,而非手机存 储或访问的数据.在合理的成本考虑 下,我们主要依赖于每款手机操作系统 内建的恶意软件控制,以及在基础设施 端检查返回至企业的数据的能力. ? 管理.这些控制功能解决了法律和人力 资源问题,例如移动................